網(wǎng)絡(luò)應(yīng)用規(guī)模的不斷擴(kuò)大帶來了以下發(fā)展趨勢：資源分散、用戶分散、決策分權(quán)、決策者分散，用戶信息、決策信息的復(fù)雜程度日益增加。這種趨勢使得傳統(tǒng)的對用戶和資源的集中式管理逐漸朝著分布式管理的方向發(fā)展。因此需要為系統(tǒng)提供良好且一致的管理，同時滿足不同的分布節(jié)點之間充分的協(xié)同和信息共享，完成對同一資源的協(xié)調(diào)管理，為整個系統(tǒng)提供統(tǒng)一的管理。
1 分布環(huán)境下授權(quán)機(jī)制新的需求
　　與傳統(tǒng)的集中式系統(tǒng)相比，分布式系統(tǒng)的授權(quán)和訪問控制" title="訪問控制">訪問控制機(jī)制帶來了更多實現(xiàn)和管理上的問題。資源(包括服務(wù))、資源的所有者、資源的管理者分散在網(wǎng)絡(luò)的各個節(jié)點上，某一資源可能存在多個干系人(或資源的所有者)，分別獨立地對用戶進(jìn)行資格審核與分布式授權(quán)。資源的管理者(或服務(wù)的提供者)需要完整維護(hù)、及時更新訪問控制策略" title="控制策略">控制策略和規(guī)則，驗證每一個訪問請求所有必須的授權(quán)條件。可見，簡單地將集中式授權(quán)和訪控模型部署到分布式系統(tǒng)的各個節(jié)點無法滿足復(fù)雜系統(tǒng)的需要。
　　此外，同一網(wǎng)絡(luò)區(qū)域內(nèi)可能存在多個分布式應(yīng)用" title="分布式應(yīng)用">分布式應(yīng)用系統(tǒng)，系統(tǒng)之間存在越來越多的協(xié)作和相互支持。這需要各個系統(tǒng)之間存在著統(tǒng)一的信任基礎(chǔ)和用于相互認(rèn)證、訪問控制的數(shù)據(jù)交換平臺。當(dāng)前，基于PKI(公開密鑰基礎(chǔ)設(shè)施)技術(shù)的統(tǒng)一信任平臺正在快速建設(shè)中，應(yīng)該充分利用現(xiàn)有PKI資源為分布式應(yīng)用提供信任管理，在此基礎(chǔ)上選擇各自的授權(quán)機(jī)制，建立相應(yīng)的訪問控制模型，實現(xiàn)基于PMI(特權(quán)管理基礎(chǔ)設(shè)施)技術(shù)的授權(quán)管理。
　　本文提出一種面向用戶的分布式授權(quán)系統(tǒng)的通用模型。它以用戶為中心管理對象，以用戶管理為核心，在統(tǒng)一的信任平臺上支持多個分布的、基于不同授權(quán)模型的授權(quán)點。通過授權(quán)管理，各個節(jié)點可以獨立自主地支持各自的上層應(yīng)用，也可以相互協(xié)作，共同支持一個上層應(yīng)用。這一機(jī)制的設(shè)計思想是在基于身份證書的信任平臺上進(jìn)行基于屬性證書的授權(quán)管理。

2 面向用戶的分布式授權(quán)模型
　　圖1是筆者設(shè)計的面向用戶的分布式授權(quán)模型體系結(jié)構(gòu)示意圖。模型包括四部分：基于PKI技術(shù)的信任管理平臺、授權(quán)節(jié)點、受控應(yīng)用節(jié)點和LDAP目錄服務(wù)器。各部分說明如下：
　　(1)基于PKI技術(shù)的信任管理平臺。該平臺是整個授權(quán)模型的信任基礎(chǔ)，負(fù)責(zé)對用戶身份的審核。同時它包含了負(fù)責(zé)生成身份證書(公鑰證書)的權(quán)威機(jī)構(gòu)CA(Certificate Authority)中心和負(fù)責(zé)生成屬性證書的權(quán)威機(jī)構(gòu)AA(Attribute Authority)中心。
　　(2)授權(quán)管理節(jié)點。授權(quán)管理節(jié)點實現(xiàn)對特定特權(quán)的審核及授予。它分布在系統(tǒng)的每個應(yīng)用服務(wù)子系統(tǒng)中，自主地維護(hù)著與子系統(tǒng)相關(guān)的授權(quán)策略和信息，并檢查驗證用戶提供的有關(guān)證明。根據(jù)這些證明、相關(guān)信息及授權(quán)策略，向合法用戶授予相應(yīng)的權(quán)利以及該權(quán)利的有效期，并將這些授權(quán)信息交給AA中心，由它負(fù)責(zé)指派有關(guān)的AA簽發(fā)相應(yīng)的屬性證書。
　　(3)受控應(yīng)用節(jié)點。也稱為資源節(jié)點，同樣分布在系統(tǒng)中，其上運行著實際應(yīng)用服務(wù)子系統(tǒng)的決策模塊，維護(hù)相應(yīng)服務(wù)的訪問控制策略和相關(guān)信息。當(dāng)用戶訪問該節(jié)點的資源時，受控應(yīng)用節(jié)點檢查用戶提供的身份信息(身份證書)，查找相應(yīng)的屬性證書，驗證模塊負(fù)責(zé)驗證這些證書的合法性。訪問決策模塊根據(jù)屬性證書的授權(quán)信息以及本地的訪問控制策略，決定該用戶是否有權(quán)訪問本地的應(yīng)用服務(wù)并告知訪問執(zhí)行模塊執(zhí)行。
　　(4)LDAP目錄服務(wù)器。主要用于發(fā)布PMI用戶的屬性證書、身份證書以及證書的撤消列表CRL，以供查詢使用。
　　在本模型中，采用公開密鑰加密技術(shù)的身份證書是提供身份、授權(quán)和屬性信息的基礎(chǔ)。本系統(tǒng)的運行應(yīng)該相對穩(wěn)定，即不應(yīng)該由于個別用戶身份證書的變更而引起相應(yīng)的授權(quán)服務(wù)體系的附加管理操作。因此在這里采用將屬性證書與用戶的一個終身不變的身份標(biāo)識碼(例如身份證號碼)相關(guān)聯(lián)，在身份證書中也與該標(biāo)識碼相關(guān)聯(lián)，并且信任服務(wù)系統(tǒng)" title="服務(wù)系統(tǒng)">服務(wù)系統(tǒng)提供的對應(yīng)用戶的最新身份證書，將屬性證書自動與該身份證書關(guān)聯(lián)。
3 分布式授權(quán)模型的應(yīng)用模式
　　在上述分布式授權(quán)模型思想的指導(dǎo)下，筆者為某省數(shù)字認(rèn)證中心設(shè)計了面向用戶的“一證通”應(yīng)用機(jī)制。所謂“一證通”，是系統(tǒng)內(nèi)的每個用戶惟一擁有一份標(biāo)識其身份的身份證書，而系統(tǒng)內(nèi)分布的各種應(yīng)用服務(wù)都將以此為基礎(chǔ)，向用戶提供服務(wù)。下面舉例說明“一證通”機(jī)制的整體業(yè)務(wù)流程和功能。
　　系統(tǒng)的結(jié)構(gòu)如圖2所示。當(dāng)一個新用戶想要加入到這個系統(tǒng)時，首先到受理點注冊，提供自己的身份信息和注冊(屬性)信息。受理點接收用戶信息后直接交到注冊機(jī)構(gòu)RA，由RA生成身份證書和屬性證書的請求發(fā)給信任平臺。信任平臺中的CA中心根據(jù)用戶提供的身份信息生成相應(yīng)的身份證書，同時，把用戶提供的注冊信息交給分布在網(wǎng)絡(luò)上各個應(yīng)用服務(wù)系統(tǒng)的授權(quán)節(jié)點(行業(yè)RA)，由各個授權(quán)節(jié)點根據(jù)各自本地的屬性集合和授權(quán)策略生成授權(quán)信息交還給信任平臺上對應(yīng)的AA，于是每個AA生成相應(yīng)的屬性證書。生成的身份證書(一份)和屬性證書(多份)被保存在LDAP目錄服務(wù)器中以供查詢使用。

?